30 Sep 2020
Aujourd’hui, le numérique est partout : dans notre vie personnelle et professionnelle. Et comme dans la vie physique, la vie virtuelle a ses propres criminels. Les enjeux de la cybersécurité en entreprise restent mal connus, donc mal pris en compte. Or, les effets d’une cyberattaque, d’une défaillance technique ou d’une négligence humaine peuvent sérieusement impacter l’activité…
Aujourd’hui, le numérique est partout : dans notre vie personnelle et professionnelle. Et comme dans la vie physique, la vie virtuelle a ses propres criminels. Les enjeux de la cybersécurité en entreprise restent mal connus, donc mal pris en compte. Or, les effets d’une cyberattaque, d’une défaillance technique ou d’une négligence humaine peuvent sérieusement impacter l’activité d’une organisation. Il est indispensable d’ériger des garde-fous pour se prémunir contre ces risques « cyber ». 80 % des organisations ont subi au moins une cyberattaque ces douze derniers mois. Tel est le constat du baromètre de la cybersécurité des entreprises publié par le Cesin. Loin de faiblir, le risque cyber devient de plus en plus prégnant et touche toutes les entreprises, quelle que soit leur taille.
Vol ou perte de données, indisponibilité temporaire du site web, prise de contrôle du système informatique, atteinte à l’image et à la crédibilité, perte de chiffres d’affaires, arrêt de la production… les conséquences d’une attaque informatique peuvent être dramatiques. Il y a donc urgence à prendre conscience des risques, et à adopter les bonnes pratiques (technologiques et humaines) pour améliorer la cybersécurité en entreprise.
Quelles menaces à destination de nos entreprises ?
L’hameçonnage (ou phishing)
Cette technique frauduleuse est destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (par exemple, des comptes d’accès, mots de passe, numéros de CB) et/ou se faisant passer pour un tiers de confiance.
Cette action peut se manifester de plusieurs manières différentes : un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations dans le but de voler des informations personnelles ou professionnelles pour en faire un usage frauduleux… Si vous avez le moindre doute concernant un lien, positionnez le curseur de votre souris sur ce lien sans cliquer ; s’affichera l’adresse vers laquelle il pointe réellement pour en vérifier la provenance.
Les rançongiciels
On parle ici de logiciels malveillants bloquant l’accès à l’ordinateur ou à des fichiers en les chiffrant et réclamant à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. La machine peut être infectée après l’ouverture d’une pièce jointe ou après avoir cliqué sur un lien malveillant reçu dans des pourriels. Parfois, naviguer sur un site compromis peut suffire à infecter sa machine. Dans une majorité de cas, les cybercriminels exploitent des failles connues dans les logiciels mais dont les mises à jour correctives n’ont pas été installées par les usagers.
Défiguration de site internet
Dans ce cas de figure, votre site internet peut devenir uniformément noir, blanc ou comporter des messages, images, logos ou vidéos sans rapport avec l’objet initial du site, parfois une courte mention du type « owned » ou « hacked ». La défiguration est le signe visible qu’un site Internet a été attaqué et que l’attaquant s’est octroyé les droits pour modifier l’apparence du site. Pendant l’attaque, le site est souvent inutilisable – entraînant ainsi des pertes directes de revenus et de productivité.
De plus, comme la défiguration est visible publiquement, elle démontre que l’attaquant a pris le contrôle du serveur et donc potentiellement l’accès à des données sensibles. Une atteinte à l’image et à la crédibilité du propriétaire du site auprès de ses parties prenantes est une conséquence directe de ce type d’attaque.
Début juin 2020, le dispositif Cybermalveillance.gouv.fr a même identifié une campagne d’arnaques au chantage au site internet prétendu piraté : vous avez reçu un message d’un supposé pirate anonyme qui prétend avoir piraté votre site internet. Il demande le paiement d’une rançon en monnaie virtuelle pour ne pas divulguer les informations contenues dans la base de données de votre site et menace de porter attente à votre réputation si vous ne payez pas ? Ne paniquez pas, il ne s’agit que de tentatives d’arnaques qui visent à vous escroquer en vous faisant peur.
Attaque en déni de service (DDoS)
Ici, l’attaquant cherche à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à saturation ou en exploitant une faille de sécurité pour provoquer une panne ou un fonctionnement fortement dégradé du service. Cette attaque peut être d’une grande gravité pour l’organisation victime. Durant celle-ci, le site ou service n’est plus utilisable – temporairement ou difficilement – cela peut donc entraîner des pertes directes de revenus pour les sites marchands et des pertes de productivité.
Cette attaque est souvent visible publiquement voire médiatiquement et laisse à penser que l’attaquant aurait pu prendre le contrôle du serveur et aurait donc accès à toutes les données, y compris les plus sensibles. Comme la défiguration de site internet, ce type d’attaque porte atteinte directement à l’image et crédibilité du propriétaire du site auprès de ses parties prenantes. L’attaquant peut agir pour des motivations politiques, idéologiques, chantage, vengeance pour des raisons économiques.
L’arnaque au faux support technique
Ou tech support scam en anglais consiste à faire peur à la victime via SMS, téléphone, chat, courriel ou l’apparition d’un message qui bloque l’ordinateur de l’usager indiquant un problème technique grave ainsi qu’un risque de perte de ses données ou l’usage de son équipement. Cette attaque est faite pour pousser l’utilisateur à contacter un prétendu support technique officiel (Microsoft, Apple, Google…) et le convaincre de payer un pseudo-dépannage informatique et/ou acheter des logiciels inutiles ou pire, nuisibles. En cas de refus de la part de la victime, les criminels peuvent opposer la destruction de ses fichiers ou la divulgation de ses informations personnelles.
Les faux ordres de virement (FOVI/BEC)
Les escroqueries au faux ordre de virement visent à pousser un salarié à effectuer un virement bancaire sur un compte frauduleux, en usurpant l’identité d’un dirigeant ou d’un de ses mandataires, d’un fournisseur ou d’un prestataire.
Les bonnes pratiques pour renforcer la cybersécurité en entreprise
Au regard des enjeux grandissants de la cybersécurité en entreprise, quelles sont les bonnes pratiques pour renforcer ses garde-fous numériques ?
- Adopter les bons outils. À menace numérique, réponse technologique : un outil antivirus doit être installé sur tous les appareils appartenant à l’entreprise et à vos employés, et géré de manière centralisée.
- Mettre à jour les logiciels existants. Les appareils numériques et logiciels que nous utilisons sont exposés à des failles de sécurité. Face à ses risques, les éditeurs et fabricants proposent des mises à jour (patchs en anglais) visant à corriger ces failles. Si l’opération de mise à jour est souvent ressentie comme une contrainte, il s’agit pourtant d’un acte essentiel pour se protéger.
- Bien gérer ses mots de passe. Avec les solutions en mode SaaS et le stockage sur le Cloud, un simple mot de passe ne suffit plus. Les accès doivent être protégés par des mécanismes d’authentification forte.
- Protéger les appareils mobiles : mettre en place des codes d’accès, chiffrer les données de l’appareil, appliquer les mises à jour de sécurité, éviter les réseaux wifi publics ou inconnus, …
- Identifier les données sensibles à protéger. Toutes les informations ne se valent pas, certaines sont plus précieuses que d’autres. Il est nécessaire d’identifier les données à risque et de focaliser ses efforts sur leur protection – surtout dans le cadre du RGPD, qui veille à la bonne utilisation et à la sécurisation des données utilisateurs.
- Sauvegarder les données et les mettre en lieu sûr. Cela permet d’éviter que les données essentielles de l’entreprise soient altérées, dégradées ou supprimées, avec des conséquences majeures sur l’activité. Une restauration des données et/ou du système, grâce à une solution de backup, contribue à limiter les effets négatifs d’une cyberattaque.
- Renforcer les droits d’accès : tous les collaborateurs de l’entreprise n’ont pas nécessairement besoin d’accéder à toutes les données.
- Créer un plan de continuité d’activité. C’est une précaution essentielle pour préserver l’activité d’une entreprise et lui permettre de se remettre sur les rails aussi vite que possible à la suite d’une attaque.
- Sensibiliser les collaborateurs à la cybersécurité en entreprise, clé de voûte de la cybersécurité.
Revenons sur ce dernier point qui est l’enjeu numéro un de la cybersécurité en entreprise. Derrière son écran d’ordinateur, de smartphone ou de tablette, le collaborateur est en première ligne face aux risques « cyber ». C’est cette position privilégiée qui en fait aussi le principal maillon faible de la chaîne de cybersécurité en entreprise, comme le prouvent les « succès » remportés par les malwares, ransomwares et autres « techniques d’ingénierie sociale » qui jouent sur la crédulité des personnes pour atteindre leur but.
Les données de votre entreprise peuvent être mises en péril par des usages d’internet mêlés entre vie professionnelle et vie privée. Sensibilisez donc vos collaborateurs à la séparation de ces deux usages : ne pas stocker des données professionnelles sur des sites de stockage personnels, ne pas se connecter à des réseaux wifi inconnus, maitriser leurs propos sur les réseaux sociaux, ne pas transférer de messages entre messagerie professionnelle et personnelle.
Il y a donc tout un travail pédagogique à mener, en amont, auprès des collaborateurs. Charte pour matérialiser les bonnes pratiques individuelles et collectives, formations (cf notre article sur le tour de France des formation), fiches « bonnes pratiques » éditées par le dispositif « Cybermalveillance.gouv.fr (partenaire EBEN), newsletter trimestrielle Cybersécure éditée par la Fédération, que vous pouvez diffuser à vos clients et collaborateurs, assurance Cybassur, …
Autant d’outils mis en place par la Fédération pour sécuriser votre activité !